来一次安全进化吧！微软即将停用ExchangeOnline基本身份验证

从技术上来说，基本身份验证（也称旧式身份验证）是一种基于 HTTP 的身份验证方案。应用程序向服务器、服务或 API 结点发起每个连接请求时，都会同时发送用户名和密码，并将这些凭据保存在设备上。这种方式极大地简化了身份验证过程，但在攻击者的各种手段面前，简直是理想的狩猎目标！尤其是在没有 TLS 的保护时，他们可以轻而易举地盗取用户的身份。

从运维上来说，基本身份验证虽然容易配置，但也会使部署多重身份验证变得更复杂和困难。

因此，微软决定自2022年10月1日起，在全球范围内对使用 Exchange Online 的用户逐步关闭基本身份验证，并用更为高级的现代身份验证作为替代。您可以参考下方这个简单视频来了解更多细节。这有助于广大用户更好的维护自身利益，提高企业和用户的安全性。自2021年9月起，微软已持续通过官方网站以及管理中心中的“消息中心”发布提醒 (MC345821)，并将持续每月对依然使用基本身份验证的客户进行“消息中心”提醒。请您预先做好准备。

▲ Exchange Online 服务即将停用基本身份验证

对于未使用基本身份验证的租户：

- 自2021年6月起，尚未使用基本身份验证的租户，会陆续在消息中心中收到30天后对该租户关闭基本身份验证的通知，关闭完成后将再次收到通知。

对于正在使用基本身份验证的租户：

- 自2021年9月起，会陆续在消息中心收到多次提醒通知，以指导租户管理员采取相关动作。

- 自2022年10月1日起，对所有已使用基本身份验证的租户，将永久停用基本身份验证方式，对于所有租户的停用过程会陆续完成。微软会在关闭前7天通过消息中心再次发出预警，并发布服务运行状况仪表板通知，然后将基本身份验证关闭。在此之后，您无法以任何形式申请例外。

- 使用由世纪互联运营的 Office 365服务的租户将于2023年3月31日起全面关闭基本身份验证，在此之后，您无法以任何形式申请例外。

微软将关闭以下协议的基本身份验证：Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, Exchange Web Services (EWS), Offline Address Book (OAB), Outlook for Windows/Mac。（对尚未使用SMTP AUTH的租户，SMTP AUTH也将被关闭）

关闭后，对上述受影响协议使用了基本身份验证的任何客户端（用户应用、脚本、集成等）都将无法连接Exchange Online。应用将收到“HTTP 401错误：用户名或密码错误”这样的信息。

为保证企业和用户能顺利的过渡到新式身份验证，建议您参考如下的“评估-修正-执行”的三步计划，逐步完成转化。

1.检查消息中心

从2021年底开始，我们开始向租户发送消息中心通知，总结基本身份验证在租户环境内的使用情况。如果您收到了使用情况的摘要，您可以了解在上个月内使用基本身份验证的用户数，以及他们使用的协议数，这表明某些内容或某人正在使用基本身份验证。

2.通过 Azure Active Directory 登陆日志进一步了解基本身份验证的使用情况

Azure AD Free 订阅可以查看过去7天的登陆日志；Azure AD P1/P2可以查看过去30天的登陆日志。通过筛选客户端应用，对新式和旧式身份验证加以区分。其中，浏览器、移动应用和桌面客户端被视为新式身份验证，而其他应用（如 IMAP、POP 和 MAPI等）则被视为旧式身份验证。您可以根据了解到的使用情况制定方案，来避免影响。

3.通过 Outlook 客户端判断是否在使用基本身份验证

按住 CTRL，右键单击系统托盘中的 Outlook 图标并选择“连接状态”来选中连接状态对话框。如 Authn 列显示为 Clear, 说明 Outlook 在使用基本身份验证；如显示为 Bearer, 则代表 Outlook 在使用新式身份验证。

4. 在移动设备上确认身份验证方式

在移动设备上，如果设备尝试用新式身份验证进行连接，会显示类似基于 Web 的登录页(下图左侧)。基本身份验证则显示为凭据输入对话框(下图右侧)。

如果您确认自己的租户将受到影响，请参照如下建议进行应对：

1. 在目录中启用新式身份验证（2017年8月1日以后创建的目录已默认启用）

（1）安装 Skype for Business Online Powershell 模块，并运行 Set-CsOAuthConfiguration 更新设置以启用新式身份验证。

（2）连接Exchange Online Powershell并运行Set-OrganizationConfig-OAuth2ClientProfileEnabled $true，以启用新式身份验证。

2.更新代码

（1） 如果您使用受影响的协议编写自己的代码，请更新代码，使用 OAuth 2.0，或Graph API。

（2）如果您使用的第三方应用程序在使用这些协议，请联系该第三方应用的开发人员。更新程序，以支持 OAuth 2.0验证，或帮助用户切换到使用 OAuth 2.0验证的应用程序。

3.对不同的客户端进行相应调整，详见下表：

您也可以通过搜索“弃用 Exchange Online 中的基本身份验证”移步至微软 Exchange 官方文库，了解表格中所列项目相关配置的更详细步骤。

1. 确保经过上述步骤后，租户中以及 Exchange Online 已经启用新式身份验证，并且客户端支持并已启用新式身份验证。

2. 在不同场景下禁用基本身份验证。

（1）针对具体的协议，为整个租户关闭基本身份验证

设置-组织设置-新式身份验证

（2）创建身份验证策略，针对具体的协议和用户/组，关闭基本身份验证（官方推荐的最佳方法）。您可以在 Bing 中搜索“在 Exchange Online 中禁用基本身份验证”获取全部步骤。

（3）针对特定用户和组，通过条件访问阻止旧式身份验证。支持“仅报告”模式进行登陆评估（实时查看哪些用户使用旧式身份验证，但并不会真正阻止连接）。

▍温馨提示

在全面关闭基本身份验证（2022年10月1日）前，如果您不希望您的租户被自动关闭基本身份验证，可以搜索“Basic Authentication and Exchange Online – September 2021 Update”，访问 Exchange 团队的博客，按照其中的步骤请求豁免。该豁免将于2022年10月后失效。

对于已经被关闭的租户，如果您希望在2022年10月前可以继续使用基本身份验证，可以搜索“Basic Authentication and Exchange Online – June 2021 Update”，按照博客中的步骤重新启用。

▍如何获得更多帮助和支持

如果您对此次变更有任何疑问，或需要任何帮助，欢迎垂询微软。我们将竭诚为您提供技术支持。

-如果您是 Premier/Unified 客户，可以通过微软官方Service Hub页面提交Ticket或拨打7*24支持电话8008201859 或 4008201859。

- 如果您不是 Premier/Unified 客户，可以通过 Admin Center 提交 Support Ticket 或拨打支持电话800-820-3800 (针对全球版 Office 365服务，每周一至周五 9：00 - 18：00) 或400-089-0365 (针对世纪互联运营的Office 365，法定工作日9：00 – 21：00)